Sehr gut abgeschnitten hat dabei verinice – das einzige OpenSource-Tool im Test. Ziel von CSC war es, den Markt der GSTOOL-Alternativen zu untersuchen und mögliche Nachfolger zu identifizieren. Vorgestellt wird die Studie derzeit auf
der it-sa, der IT-Security-Messe in Nürnberg (6. – 8.10.2015). In Halle 12.0 / Stand 12.0-339 ist auch SerNet mit verinice vertreten und informiert gerne detailliert über die Ergebnisse.

Bewertet wurden die Tools anhand von sieben Kategorien (Systemvoraussetzungen, Umsetzung der BSI IT-Grundschutz Standards, Umsetzung ISO 27001, Risikoanalyse, ISMS Managementprozesse & Workflows, Reporting, Benutzbarkeit). verinice konnte in all diesen Punkten gute bis sehr gute Ergebnisse erzielen. Besonders hervor gehoben wurde zudem die Konnektivität zum GSTOOL für Import/Export, die Integration von OpenVAS / Greenbone GSM für ein Schwachstellen-Management und die Möglichkeit, auch offline zu arbeiten. Auch die intuitive Benutzerführung stellt die Studie mehrmals heraus – unterstützt wird der einfache Zugang zu verinice noch durch das 160 Seiten starke Handbuch, das mit jeder neuen Version angepasst wird.

Erfreut über die durchweg positive Betrachtung von verinice zeigt sich Alexander Koderman, Leiter des verinice-Teams bei der SerNet GmbH.
„Gegenüber dem in der Studie getesteten verinice 1.9 haben wir in der aktuellen Version 1.11 natürlich nochmals neue Funktionen wie die Volltextsuche und einige Verbesserungen nachgelegt“, fügt er an. Das Entwicklerteam habe z.B. viel Aufwand in die Optimierung des GSTOOL-Imports investiert. Koderman: „Wir wissen, dass Nutzer jetzt mit der schwierigen Situation des GSTOOL-Endes konfrontiert sind. verinice soll einen ressourcenschonenden Umstieg ermöglichen; der bereits
investierte Aufwand in die Modellierung und Verwaltung komplexer IT-Verbünde soll nicht verloren gehen.“ Die Performance sowie die möglichst lückenlose Übernahme des Datenbestands aus den letzten GSTOOL-Versionen bzw. den Ergänzungslieferungen wurden entsprechend überarbeitet. Mit Erfolg: Gerade sei bei einem Kunden, der aus Performancegründen vier Datenbanken getrennt im GSTOOL betrieben habe, der Datenbestand importiert und in einer verinice-Datenbank vereint worden.

Einzig die Einstufung von verinice als ‚ressourcenintensiv‘ sieht Koderman kritisch und stellt klar: „Die von uns u.a. auf der Webseite angegebenen Systemanforderungen sind ausreichend dimensioniert, um auch große Informationsverbünde abbilden zu können. In kleineren Umgebungen kann der Speicherbedarf je nach Bedarf reduziert werden.“ Das spiegle sich auch im breiten Nutzerspektrum von verinice.PRO wider: Dieses werde von kleinen Kommunen am Einzelarbeitsplatz bis hin zu weltweit tätigen Unternehmen mit mehreren hundert Benutzern im Follow-the-Sun-Betrieb eingesetzt. Außerdem weist Koderman darauf hin, dass verinice im Vergleich zu anderen Tools keine zusätzliche Software neben dem Betriebssystem brauche: „MS-Access-Lizenzen wie auch MS-SQL-Server sind nicht nötig.“ Das vermeide nicht nur Kosten sondern führe auch zu besserer Performance.

In Aussicht stellt Koderman die vollständige Versionierung von Objekten mit entsprechenden Funktionen (Reports über Zeitachse, Snapshot-Funktion etc.). Diese sei bereits in die verinice-Roadmap aufgenommen und werde voraussichtlich Anfang 2016 – beginnend mit einem einstufigen Roll-Back von Änderungen – in neue verinice-Versionen implementiert.